Objet: Bulletin d’actualité 2006-41

1 Incidents traités

Le CERTA a traité de nombreux incidents cette semaine :

• Cahier de Texte est une application qui permet de gérer les devoirs d’une classe sur un site Web. Plusieurs sites ont subi des attaques sur cet applicatif. Des identifiants de connexion ont été volés, ce qui a permis à l’intrus d’effectuer des modifications dans la base de données. La vulnérabilité exploitée dans l’application Cahier de Texte a fait l’objet de la publication de l’avis CERTA-2006-AVI-452.
• Une défiguration datant de février 2005 (!), qui n’avait jamais été remarquée par la victime, a été traitée. Une faille dans l’applicatif Awstats.pl avait permis cette attaque. Cet exemple montre l’importance du traitement des incidents : les intrus peuvent se maintenir sur un système pendant des mois, voire des années, si une détection puis une réponse adéquate ne sont pas apportées.

2 Problèmes de sécurité avec une version 1.8.0 de Claroline

2.1 Présentation des faits

Le 10 octobre 2006, une nouvelle version stable de Claroline, la version 1.8.0, était annoncée sur le site

http://www.claroline.net

.

Très rapidement, des vulnérabilités de type php include ont été annoncées. Le CERTA a téléchargé les sources de la version 1.8.0 et vérifié la véracité de ces failles. Comme annoncé publiquement, la variable includePath du fichier claroline/inc/lib/import.lib.php permettait l’inclusion de fichiers externes. Par ailleurs, les recherches effectuées par le CERTA ont permis de mettre en évidence d’importants problèmes de sécurité et des oublis de programmation dans le fichier claroline/inc/lib/export.lib.php.

Alors qu’aucune annonce officielle n’a été faite sur le site de Claroline, les sources de la version 1.8.0 ont été modifiées, tout en conservant le même numéro de version. Les fichiers import.lib.php, export.lib.php, export_zip.lib.php et import.xmlparser.lib.php ont été complètement supprimés des sources.

Il est à noter que la version 1.8.0 de Claroline ne correspond pas à une mise à jour de sécurité, mais à une amélioration de plusieurs fonctionnalités.

2.2 Recommandations :

Si la version 1.8.0 de Claroline a été téléchargée avant le 12 octobre 2006, il est fortement recommandé de la télécharger de nouveau et de veiller à ce que les quatre fichiers (dont claroline/inc/lib/import.lib.php et claroline/inc/lib/export.lib.php) n’apparaissent plus.

3 Clés USB U3

3.1 Introduction

L’USB (pour Universal Serial Bus) est une interface de connexion définie dans les années 90 et destinée à remplacer les ports série et parallèle sur les ordinateurs. Elle est fréquemment utilisée de nos jours sur les équipements informatiques pour y brancher tout type de périphérique, que ce soient les imprimantes, les claviers, les souris, les scanners, les modems, ou des appareils de stockage, comme les clés USB.

Le système d’exploitation Microsoft Windows dispose d’une fonctionnalité appelée autorun. Elle consiste à exécuter automatiquement un logiciel lorsqu’un périphérique de stockage qui le contient est connecté. Microsoft autorise uniquement cette fonction pour le périphériques de type CDROM/DVDROM, ou les disques fixes. Cette fonctionnalité est visible, quand, par exemple, à l’insertion de certains CDs, une fenêtre de navi gation Internet Explorer s’ouvre.

Un périphérique USB classique ne permet pas, lors de son insertion dans une machine fonctionnant sous Windows, d’exécuter automatiquement des programmes ou des commandes. Microsoft autorise cette fonction de manière restreinte aux CDROM/DVDROM, et aux disques fixes. Cette fonctionnalité, nommée autorun, est visible, quand, par exemple, à l’insertion de certains CDs, une fenêtre de navigation Internet Explorer s’ouvre.

3.2 Risques

Dans l’objectif de faire exécuter automatiquement du code au cours de l’insertion d’un périphérique USB, certains fabriquants de matériels USB ont développé une astuce, qui consiste à faire passer celui-ci auprès de Windows pour un CD ou/et un DVD. Cette technique existe, et se commercialise sous le nom de USB U3. Le principe général est que le périphérique, au moment de l’insertion, présente sa mémoire flash comme un lecteur de CDROM USB, permettant a fortiori l’exécution d’un autorun. De nombreux produits disposant de cette technologie sont actuellement commercialisés. A l’insertion, un « lanceur » permet d’exécuter un ensemble d’applications préalablement configurées, comme Firefox, Skype, Avast Antivirus, etc, l’éventail des applications pré-installées étant le domaine de concurrence de ces produits. Ils fonctionnent sur la version Windows 2000 ainsi que celles plus récentes.

Une clé de ce type peut présenter des avantages pour l’utilisateur mobile. Cependant, la question des mises à jour des applications fournies par les vendeurs reste très obscure.

Profitant de cet avantage, il existe également d’autres lanceurs beaucoup plus malveillants et discrets, permettant d’effectuer tout type d’opération dangereuse, avec les droits du compte actif sur Windows :

• Vol d’information
• Installation de logiciels rootkits
• Récupération de la base hachée des mots de passe
• etc

Ces outils sont en libre service sur l’Internet et relativement bien documentés. Par ailleurs, les clés USB U3 sont maintenant disponibles dans la plupart des boutiques de vente de matériels informatiques, à des prix abordables, et ne sont pas facilement distinguables des clés USB plus traditionnelles.

3.3 Recommandations :

Le CERTA recommande donc les actions suivantes pour limiter les impacts sus-mentionnés :

• se connecter sur une machine Windows avec un compte aux droits limités ;
• désactiver l’option autorun dans la base de registre (voir lien Microsoft) ;
• ne pas accepter de connexions par des clés issues de sources non fiables ;
• verrouiller l’écran de son ordinateur en cas d’absence, l’autorun ne fonctionnant pas sous ces conditions.

3.4 Documentation associée

• Caractéristiques de l’USB U3 :

  http://www.u3.com
  

• Comment désactiver la fonction autorun sur une machine Windows :

  http://support.microsoft.com/kb/q155217
  

Rappel des avis émis

Dans la période du 02 au 08 octobre 2006, le CERT-FR a émis les publications suivantes :

• CERTA-2006-AVI-415 : Multiples vulnérabilités dans IBM AIX
• CERTA-2006-AVI-416 : Plusieurs vulnérabilités dans Apple Mac OS X et des applications associées
• CERTA-2006-AVI-417 : Vulnérabilité du serveur CIFS de HP-UX
• CERTA-2006-AVI-418 : Vulnérabilité du logiciel TYPO3
• CERTA-2006-AVI-419 : Vulnérabilité de HP-UX SLP
• CERTA-2006-AVI-420 : Vulnérabilités dans phpMyAdmin
• CERTA-2006-AVI-421 : Multiples Vulnérabilités dans OpenSSL
• CERTA-2006-AVI-422 : Vulnérabilité dans ws_ftp
• CERTA-2006-AVI-423 : Vulnérabilité dans Skype
• CERTA-2006-AVI-424 : Vulnérabilité du serveur Ignite-UX d’HP-UX
• CERTA-2006-AVI-425 : Vulnérabilité dans IBM WebSphere Application Server
• CERTA-2006-AVI-426 : Multiples Vulnérabilités dans Mailman
• CERTA-2006-AVI-427 : Vulnérabilité de certains produits McAfee
• CERTA-2006-AVI-428 : Vulnérabilité dans CA Unicenter WSDM
• CERTA-2006-AVI-429 : Vulnérabilité dans Novell GroupWise Messenger Agent
• CERTA-2006-AVI-430-001 : Vulnérabilités dans CA BrightStor ARCserve Backup
• CERTA-2006-AVI-431 : Vulnérabilité dans les produits Symantec

Durant la même période, les publications suivantes ont été mises à jour :

• CERTA-2005-AVI-257-005 : Vulnérabilité de MIT Kerberos 5